Aantoonbaar aan nationale en internationale cybersecurityeisen voldoen

Met de invoering van de nieuwe Europese NIS2-richtlijn komt er een nieuwe cybersecuritynorm voor mkb-bedrijven: het NIS2 Quality Mark. Dr. Peter Noordhoek, directeur-secretaris van de Stichting Kwaliteitsinnovatie, stond aan de basis van deze ontwikkeling. 

Wat is het basisidee achter het NIS2 Quality Mark?

Peter: ‘De NIS2 is een wet die heel veel bedrijven en sectoren raakt. Wetten zijn er veel, kunnen lastig zijn voor bedrijven. Brancheorganisaties zijn gewend aan wetten, normen en keurmerken. In dit geval bleek dat er behoefte was aan een vertaling van de wet in een norm. In Nederland alleen al krijgen naar schatting 50.000 tot 70.000 bedrijven direct of indirect te maken met de NIS2. Dat is een gigantisch aantal, en onze uitdaging was om een norm te ontwikkelen die niet alleen effectief, maar ook betaalbaar en toegankelijk is voor al deze bedrijven, ongeacht hun omvang.’

Hou zou u het NIS2 Quality Mark omschrijven?

Peter: ‘Het NIS2 Quality Mark is vorig jaar gelanceerd voor Nederland en nu verder ontwikkeld. Internationaal gaan was altijd het plan, en nu is het zover. Nederlandse bedrijven zijn sterk internationaal georiënteerd, en als vijfde exportland en achtste importland ter wereld is het essentieel dat onze bedrijven voldoen aan de cybersecurity-eisen van internationale partners. NIS2 Quality Mark-certificering helpt bedrijven om aantoonbaar aan cybersecurity te voldoen. Dat is essentieel voor onze internationale concurrentiepositie.’

Slaat het aan? 

Peter: ‘Jazeker, het gaat heel erg goed. We hebben een samenwerking met Samen Digitaal Veilig. Inmiddels wordt dit door 64 brancheorganisaties (met een bereik van meer dan 100.000 bedrijven) naar hun leden gecommuniceerd als norm. Er zijn al heel veel bedrijven bezig om het te halen. Daar zijn we heel blij mee.’

Er zijn diverse niveaus, hoe zit dat?

Peter: ‘In de markt zijn er zeer goede, maar best wel zware frameworks en normeringen (zoals NIST, ISO27001 en NEN7510) die geschikt zijn voor grote, complexere organisaties. Daaronder was er niets. Nu wel. Wij hebben drie niveaus als ladder naar hogere normen gemaakt. Dat kan, want NIS2 draait om risico en niet ieder bedrijf vormt een even zwaar risico. Dus is daar ruimte. Die hebben we benut. ENISA, het Europese cyberagentschap, heeft enkele jaren geleden met de aankondiging van getrapte normeringen voor wetten de deur opengezet. Heel fijn. Daar plukken we nu de vruchten van.

De basisnorm NIS2-QM10 biedt bedrijven de mogelijkheid om met een basisniveau van beveiliging te beginnen. Deze standaard ligt op hetzelfde niveau zoals de NCSC op hun website heeft staan en helpt bedrijven direct op weg met de eerste cruciale stappen.

In de NIS2 staat de verplichting voor de beveiliging van de toeleveringsketen. Dus NIS2-organisaties moeten hun leveranciers controleren als er een risico is. Weinig risico? Dan is een lage normering voldoende. Meer risico, zoals bijvoorbeeld bij IT-bedrijven, dan kunnen bedrijven, afhankelijk van hun risicoprofiel en behoefte, doorgroeien naar QM20 en QM30. Dit getrapte model is bewust schaalbaar en flexibel ontworpen, zodat zowel kleine als grotere bedrijven het kunnen implementeren. Hierdoor wordt de drempel om te beginnen met cybersecurity significant verlaagd.

Wat belangrijk is, is dat we niet willen dat bedrijven certificering zien als het einddoel. Het doel is dat bedrijven daadwerkelijk veilig worden en blijven. Certificeren is slechts een middel om dat doel te bereiken.’

Wat zijn de belangrijkste voordelen van het NIS2 Quality Mark?

‘Het grootste voordeel is de eenvoud en begrijpelijkheid van de norm. Daarnaast is de norm kosteloos te downloaden op onze website. We hebben een structuur gecreëerd die bedrijven snel kunnen implementeren, zonder vast te lopen in complexe certificeringstrajecten die veel tijd en geld kosten. 

Daarnaast is ons model schaalbaar. Dit getrapte model is geschikt voor zowel kleine als grote bedrijven. Ook voorkomen we dubbelingen in de toepassing van de normen: per norm wordt beschreven waar deze aan andere normen raakt. Is die norm al getoetst, dan hoeft dat bij ons niet meer. We willen geen dubbel werk opleggen. Dat zou alleen amar frustreren.’

Hoe ondersteunt deze norm bedrijven internationaal?

‘De norm helpt bedrijven niet alleen om te voldoen aan de nieuwe Europese wet- en regelgeving, maar laat mkb-bedrijven samenwerken met hun buitenlandse klanten en leveranciers. De eisen vanuit de NIS2 met betrekking tot de toeleveringsgketen zijn glashelder. Bedrijven moeten daaraan voldoen om zaken te kunnen blijven doen. Met het NIS2 Quality Mark zorgen we ervoor dat Nederlandse bedrijven klaar zijn om te voldoen aan de cybersecurity-eisen van hun internationale partners.’